根据 FioinCoin 团队消息，Lotus 团队从一家交易所收到了一份报告，报告称不正确地使用 lotus API 来处理 Filecoin 网络中的转账 / 存款存在重复入账问题。

知道创宇区块链安全实验室对相关信息分析发现，这是一起 Filecoin Lotus 的 RBF 假充值攻击事件。

Filecoin lotus 节点提供了多个 RPC API 用于链上交易的获取，例如 Filecoin.ChainGetBlockMessages 可以获取指定区块内的所有交易内容，Filecoin.StateGetReceipt 可以获取指定交易 id 对应的执行结果。

攻击者预先 发送一笔交易低 Gas 的交易 tx_1，对应的交易 id 为 tx_1_id，随后攻击者通过提高 Gas 实现交易加速 对 tx_1 进行 RBF，生成 tx_2，对应的交易 id 为 tx_two_id2，tx_2 上链成功，然而，Filecoin.StateGetReceipt 接口 RPC 有一个特性，就是在获取指定交易 id 的执行结果时，如果这笔交易已经被 RBF，则会返回最终 RBF 成功的那笔交易的执行状态，导致交易所对两笔 tx_1, tx_2 交易重复入账。关于所谓的“双花问题”，早在 1.21 日，比特币就出现了”双花“疑云，最终竟然也是一次 RBF 交易。

什么是「双花」问题？

「双花」（double spending），即双重支付，指的是在数字货币系统中，由于数据的可复制性，使得系统可能存在同一笔数字资产因不当操作被重复使用的情况。

如果没有合适的机制，仅凭借协议是无法彻底解决双花问题的，用户无法验证是否自己所接收的资金没有同时在其他地方被支付。

什么是 按费用替换（RBF）？

即允许用户创建一个替换交易，该交易至少花费一个与被卡住交易相同的输入，但需要支付额外的费用。（如果它没有花费相同的输入，那将完全是一个单独的交易。）

除了在卡住的交易上增加费用外，交易替换对于像迭代付款批量处理之类的用例非常有用。虽然常规批量处理将许多支付合并到同一笔交易中，然后再发布，但同样可以先发布交易，然后在交易广播之后，但在一个矿工将其包含在区块之前，通过添加更多的输入和输出来迭代该交易。

安全提醒

知道创宇区块链安全研究实验室提醒交易所及相关钱包方，在充值入账时，应用

Filecoin.ChainGetParentMessages和Filecoin.ChainGetParentReceipts来获取已经成功上链的交易，从而从根本上避免了被双花充值的风险。密切关注 RBF 交易带来的风险，必要时可请安全审计公司协助检测。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。